|
|
|||||||
| 論壇說明 |
|
歡迎您來到『史萊姆論壇』 ^___^ 您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的! 請點擊這裡:『註冊成為我們的一份子!』 |
|
|
主題工具 | 顯示模式 |
2004-08-24, 04:02 PM
|
#1 |
|
|
蠕蟲 - W32.Sasser
W32.Sasser 及變種蠕蟲 (針對 LSASS 漏洞)
內容 W32.Sasser 及變種蠕蟲是一種攻擊微軟視窗 LSASS 漏洞 MS04-011 的蠕蟲。 電腦病毒防護軟件商已發現的 W32.Sasser 蠕蟲變種: W32.Sasser.A 蠕蟲 W32.Sasser.B 蠕蟲 W32.Sasser.C 蠕蟲 (更新於 2004年5月4日) W32.Sasser.D 蠕蟲 (更新於 2004年5月4日) W32.Sasser.E 蠕蟲 (更新於 2004年5月9日) W32.Sasser.F 蠕蟲 (更新於 2004年5月12日) W32.Sasser.G 蠕蟲 (更新於 2004年6月11日) 蠕蟲會透過隨機掃描 IP 地址並嘗試連接有漏洞系統的 TCP 連接埠 445 進行傳播。 如果連接成功,它會傳送一個特制的封包去攻擊這個漏洞。 當電腦受到蠕蟲攻擊,系統可能會顯示以下的訊息閘:  蠕蟲會利用這個漏洞開啟一個監聽 TCP 連接埠 9996 (W32.Sasser.A - C, F 蠕蟲) 或 9995 (W32.Sasser.D 蠕蟲) 或 1022 (W32.Sasser.E, G 蠕蟲) 的遠端命令核。它連接到這個命令核的連接埠後會在受感染電腦上的系統資料夾建立一個名為 "cmd.ftp" FTP 腳本程式。這個腳本程式會指示受感染的電腦經 FTP 下載和執行蠕蟲的副本。FTP 伺服器會在受感染的電腦上監聽 TCP 連接埠 5554 (W32.Sasser.A - D, F 蠕蟲)或 1023 (W32.Sasser.E, G蠕蟲),對其他受感染的電腦提供蠕蟲副本的 FTP 下載。 FTP 伺服器的傳輸記錄會寫入 "C:\win.log" (W32.Sasser.A, D 蠕蟲) 或 "C:\ftplog.txt" (W32.Sasser.E, G蠕蟲) 或 "C:\win2.log" (W32.Sasser.B, C, F 蠕蟲) 的檔案。 每個變種蠕蟲都有少許不同。每個變種蠕蟲的具體特徵,請參考 附錄。 受影響之系統 微軟視窗 2000 微軟視窗 XP 微軟視窗 2003 破壞力 降低電腦的效能 在TCP 連接埠 9996 (W32.Sasser.A - C, F 蠕蟲) 或 9995 (W32.Sasser.D 蠕蟲) 或 1022 (W32.Sasser.E, G 蠕蟲) 開啟一個遠端命令核 在 TCP 連接埠 5554 (W32.Sasser.A - D, F 蠕蟲) 或 1023 (W32.Sasser.E, G 蠕蟲) 開啟一個 FTP 伺服器 在嘗試連接有漏洞的電腦前,它會先傳送一個 ICMP echo 請求去測試回應 (W32.Sasser.G 蠕蟲) 解決方案 注意:以下步驟必須以擁有系統管理員權限的帳戶執行,及必須全部順序執行。 對於受感染的電腦, 當你遇到 "Shutdown in 60 seconds" 的對話閘時,按 開始 -> 執行,並輸入 'shutdown -a' 便可暫時解決關閉電腦的問題。 所有未安裝修補程式的電腦請參照以下的步驟: 下載並安裝微軟視窗 LSASS 漏洞的修補程式 注意:建議使用視窗98 、視窗ME 或已安裝修補程式的個人電腦下載這個修補程式,再經光碟抄錄到受感染電腦上,這樣較為安全。 緊記選擇下面一個 正確的視窗平台及語言去下載修補程式 : 視窗 2000 (英文版): http://www.microsoft.com/downloads/d...displaylang=en 視窗 2000 (繁體中文版): http://www.microsoft.com/downloads/d...B-D2342FBB6C00 視窗 XP Home 及 視窗 Professional 版本 (英文版): http://www.microsoft.com/downloads/d...displaylang=en 視窗 XP Home 及 視窗 Professional 版本 (繁體中文版): http://www.microsoft.com/downloads/d...1-AF243B6168F3 視窗伺服器2003 (英文版): http://www.microsoft.com/downloads/d...displaylang=en 視窗伺服器 2003 (繁體中文版): http://www.microsoft.com/downloads/d...1-AF243B6168F3 其他視窗平台: http://www.microsoft.com/technet/sec.../MS04-011.mspx 當 "檔案下載" 視窗出現時,請選擇 "開啟" 檔案。下載完成後,會開始安裝這修補程式,只選要按“下一步”直至“完成”。 完成後,請 重新啟動 電腦。 掃描及消除病毒 重新啟動之後,請預備一個蠕蟲清除程式到桌面,留待稍後使用 蠕蟲清除程式可到下面的網址下載: http://securityresponse.symantec.com...r/FxSasser.exe 注意: 最好在一部不受影響的系統 (視窗98、視窗ME) 或已修補好的系統下載蠕蟲清除程式,再經軟碟及光碟抄錄到受感染電腦上,這樣較為安全。 下載時,選 “儲存檔案” → 儲存至 “桌面” → 按 “儲存”。桌面上會顯示 FxSasser 程式的圖示。 視窗XP 主機在執行電腦病毒防護程式前,請依照下列步驟關閉"系統還原": (視窗2000 及視窗NT 可略去此步驟) 按下「開始」。 在「我的電腦」按下滑鼠右鍵,然後按下「內容」。 按下「系統還原」標籤。 勾選「關閉系統還原」或「關閉所有磁碟上的系統還原」。 按下「套用」,然後按下「確定」。 如訊息中所說,這將會刪除所有現存的系統還原 。 按「是」繼續。 按「確定」。 在安全模式下執行電腦病毒防護軟件,確保不會有任何檔案被鎖上及正常移除所有檔案 重新啟動電腦 於啟動時連續按 "F8" 直至出現開機選單 選擇 "安全模式" 進入安全模式後,執行存放在桌面上的 "Fxsasser.exe" 清除程式去掃描你的電腦 一直掃描至完成為止 重新啟動電腦並進入 "正常模式" 還原 視窗XP 設定(視窗2000 及視窗NT 可略去此步驟) 按下「開始」 在「我的電腦」按下滑鼠右鍵,然後按下「內容」。 按下「系統還原」標籤,取消勾選「關閉系統還原」或「關閉所有磁碟上的系統還原」 按 「套用」,再按「確定」 重新啟動電腦 至此,受感到染電腦應已修復。同時,因為修補程式已堵塞 LSASS 的安全漏洞,因此電腦能抵禦任何針對這個漏洞的變種蠕蟲攻擊。 不過,下面的選擇性建議,可以進一步改善你的電腦防禦效果。 -------------------------------------------------------------------------------- 選擇性建議步驟以對抗 W32.Sasser 蠕蟲的攻擊 設定防火牆過濾網絡交通 若公司安裝有防火牆或帶有防火牆功能的寬頻路由器,可設定為阻塞從互聯網進入存取 LSARPC 服務的交通,確保內部網絡上所有機器的安全,有效地減低公司的風險。需要在防火牆禁止的服務包括: TCP/UDP 139 TCP/UDP 445 此外,蠕蟲可能會使用到以下 的連接埠,都必須阻塞 TCP 1022 TCP 1023 TCP 5554 TCP 9995 TCP 9996 注意: 請先核對現時的服務沒有採用這個連接埠 如果不能禁止所有外來主機的存取,我們建議限制只允許日常操作所需的主機進行存取。根據良好的習慣,除日常操作需要的網絡交通以外,其他的網絡交通都應過濾。 家用及個人電腦安裝有防火牆功能的寬頻路由器 (硬件) 或 個人防火牆 (軟件) 去阻擋蠕蟲攻擊。 視窗 XP 的使用者亦可開啟內建的個人防火牆 "網際網路連線防火牆"。詳細的步驟可參照以下網址: http://www.microsoft.com/taiwan/wind...omenet/icf.htm 相關網址 詳情請參考以下連結: Computer Associates 提供的資料:W32.Sasser 變種 A, B, C, D, E, F F-Secure 提供的資料:W32.Sasser 變種 A, B, C, D, E, F Kaspersky 提供的資料:W32.Sasser 變種 A, B McAfee 提供的資料:W32.Sasser 變種 A, B, C, D, E, F Norman 提供的資料:W32.Sasser 變種 A, B, C, D, F Sophos 提供的資料:W32.Sasser 變種 A, B, D, E, F Symante 提供的資料:W32.Sasser 變種 A, B, C, D, E, F, G Trend Micro 提供的資料:W32.Sasser 變種,A, B, C, D, E, F 附錄 W32.Sasser.A 蠕蟲 它會複製自己並以 avserve.exe 命名和加入以下的設定: "avserve.exe"="%Windir%\avserve.exe" 至登錄索引值: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices 因此,每當啟動視窗時,W32.Sasser.A 蠕蟲便會自動執行。 W32.Sasser.B 蠕蟲 它會複製自己並以 avserve2.exe 命名和加入以下的設定: "avserve2.exe"="%Windir%\avserve.exe" 至登錄索引值: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices 因此,每當啟動視窗時,W32.Sasser.B 蠕蟲便會自動執行。 W32.Sasser.C 蠕蟲 蠕蟲會啟動 1024 個程序去掃描新的受影響系統,而不是 128 個程序。 W32.Sasser.D 蠕蟲 它會複製自己並以 avserve2.exe 命名和加入以下的設定: "skynetave.exe"="%Windir%\skynetave.exe" 至登錄索引值: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices 因此,每當啟動視窗時,W32.Sasser.D 蠕蟲便會自動執行。 它選用另外一個連接埠作為遠端命令核: 9995/tcp。 在某些 Windows 2000 系統,蠕蟲在執行任程式碼時遇到下列的錯誤訊息便會離開: The procedure entry point IcmpSendEcho could not be located in the dynamic link library iphlpapi.dll. W32.Sasser.E 蠕蟲 它會複製自己並以 lsasss.exe 命名和加入以下的設定: "lsasss.exe"="%Windir%\lsasss.exe" 至登錄索引值: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices 因此,每當啟動視窗時,W32.Sasser.E 蠕蟲便會自動執行。 它會顯示下列文字的訊息閘: 1. Your computer is affected by the MS04-011 vulnerability 2. It can be that dangerous computer viruses similar the Blaster worm infect your computer 3. Please update your computer with the MS04-011 LSASS patch from the www.microsoft.com website 4. This is an message from the SkyNet Team for malicious activity prevention 它選用另外一個連接埠作為遠端命令核: 1022/tcp 和 FTP 伺服器: 1023/tcp。 它會將 FTP 的傳輸記錄寫入 C:\ftplog.txt。 它會嘗試移除 Bagle 蠕蟲所建立的登錄索引值去停止 Bagle 變種蠕蟲的活動。 W32.Sasser.F 蠕蟲 它會複製自己並以 napatch.exe.exe 命名和加入以下的設定: "napatch.exe"="%Windir%\napatch.exe" 至登錄索引值: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices 因此,每當啟動視窗時,W32.Sasser.F 蠕蟲便會自動執行。 它會將 FTP 的傳輸記錄寫入 C:\win2.log。 W32.Sasser.G 蠕蟲 它會複製自己並以 lsasss.exe 命名和加入以下的設定: "lsasss.exe"="%Windir%\lsasss.exe" 至登錄索引值: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices 因此,每當啟動視窗時,W32.Sasser.E 蠕蟲便會自動執行。 它會顯示下列文字的訊息閘: 1. Your computer is affected by the MS04-011 vulnerability 2. It can be that dangerous computer viruses similar the Blaster worm infect your computer 3. Please update your computer with the MS04-011 LSASS patch from the www.microsoft.com website 4. This is an message from the SkyNet Team for malicious activity prevention 它選用另外一個連接埠作為遠端命令核: 1022/tcp 和 FTP 伺服器: 1023/tcp。 它會將 FTP 的傳輸記錄寫入 C:\ftplog.txt。 它會嘗試移除 Bagle 蠕蟲所建立的登錄索引值去停止 Bagle 變種蠕蟲的活動。 在嘗試連接有漏洞的電腦前,它會先傳送一個 ICMP echo 請求去測試回應。 |
|
送花文章: 0,
|
|
|
相似的主題
|
||||
| 主題 | 主題作者 | 討論區 | 回覆 | 最後發表 |
| 被詛咒的畫——圖片病毒技術內幕 | psac | 應用軟體使用技術文件 | 2 | 2005-05-04 01:30 PM |
| 對NAV2005原有的蠕蟲防火牆及NAV2005的詳細說明! | psac | 應用軟體使用技術文件 | 6 | 2004-10-31 01:30 AM |
| 蠕蟲 - W32.Bagle.D@mm | Eric Chen | 多媒體影音轉檔燒錄技術文件 | 0 | 2004-08-24 03:57 PM |
| 蠕蟲病毒的傳播技術原理 快速檢視 | psac | 應用軟體使用技術文件 | 3 | 2004-02-19 11:04 AM |
| MSBlast蠕蟲快速解決方案 | psac | 多媒體影音轉檔燒錄技術文件 | 3 | 2003-08-17 03:32 AM |
平板模式
